CVE-2026-55659 in grist-core情報

要約

〜によって VulDB • 2026年07月10日

Gristは、数式言語としてPythonを使用するスプレッドシートソフトウェアです。バージョン1.7.15より前では、サーバー側でレンダリングされるいくつかのGristページにおいて、ユーザーが制御可能な値が完全にエスケープされずにページおよびインラインスクリプトに埋め込まれており、これによりクロスサイト・スクリプティング(XSS)が可能でした。メインアプリケーションページでは、ドキュメントエディタによって設定されたドキュメントの名前や説明が、他のユーザーがそのドキュメントを開いた際に表示されるページ上にレンダリングされます。OAuth2フロー終了時ページでは、openerOriginリクエストパラメータが提供されるページに反映されていました。注入されたスクリプトは被害者のGristオリジン内で実行され、認証済みセッションを通じて操作を行うことができるため、データの読み取りや変更、共有設定およびアクセスルールの改ざんが可能です。したがって、ドキュメントエディタは所有者レベルの権限へ昇格させることが可能でした。この問題はバージョン1.7.15で修正されています。

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

責任者

GitHub M

予約する

2026年06月17日

モデレーション

承諾済み

エントリ

VDB-377636

EPSS

0.00000

アクティビティ

非常低い

ソース

Do you want to use VulDB in your project?

Use the official API to access entries easily!